Ο κακόβουλος απειλητικός παράγοντας StrongPity ανακαλύφθηκε ότι διανέμει ένα δόλιο αντίγραφο του Shagle chat app που κρύβει ένα backdoor στον κώδικά του. Αυτή η trojanized έκδοση βασίζεται στην εφαρμογή Telegram για Android και φέρει πρόσθετες απειλές για την ασφάλεια των χρηστών.
Το Shagle είναι μια ασφαλής, διαδικτυακή πλατφόρμα συνομιλίας μέσω βίντεο που συνδέει αγνώστους από όλο τον κόσμο. Ωστόσο, η πλατφόρμα βασίζεται εξ ολοκλήρου στον ιστό, πράγμα που σημαίνει ότι δεν υπάρχει επιλογή για εφαρμογή για κινητά.
Δείτε επίσης: Επίθεση trojan Puzzle εκπαιδεύει τους βοηθούς AI στο να προτείνουν κακόβουλο κώδικα
Από το 2021, το StrongPity εκμεταλλεύεται έναν ψεύτικο ιστότοπο Shagle για να εξαπατήσει τα θύματα ώστε να κατεβάσουν επιζήμιες εφαρμογές Android. Αφού εγκατασταθεί το κακόβουλο λογισμικό, οι κυβερνοεγκληματίες μπορούν να παρακολουθούν τα θύματα τους και να αποκτούν πρόσβαση σε κρίσιμα δεδομένα, όπως τηλεφωνικές κλήσεις, μηνύματα SMS και πληροφορίες επικοινωνίας.
Μια σύντομη ανακεφαλαίωση της δραστηριότητας StrongPity
Πρόσφατα, οι ερευνητές της ESET ανακάλυψαν την τελευταία δραστηριότητα του StrongPity, την οποία αποδίδουν σε μια κατασκοπευτική ομάδα APT λόγω ομοιότητας του κώδικα με προηγούμενα payload. Επιπλέον, το BleepingComputer παρατήρησε ότι η εφαρμογή Android φέρει την υπογραφή του ίδιου πιστοποιητικού που χρησιμοποιήθηκε το 2021 για τη μίμηση μιας εφαρμογής Android της συριακής κυβέρνησης. Αυτό είναι άλλο ένα παράδειγμα του πόσο ισχυροί και εξελιγμένοι έχουν γίνει αυτοί οι απειλητικοί φορείς.
Δείτε επίσης: MFHS: Hackers έκλεψαν δεδομένα από 460.000 άτομα
Το Promethium, ψευδώνυμο StrongPity ή APT-C-41, έχει διαβόητη φήμη λόγω της εκστρατείας του που εισήγαγε κακόβουλα trojans σε installers Notepad++ και λήψεις WinRAR & TrueCrypt με σκοπό την εξάπλωση κακόβουλου λογισμικού.
Trojanized Android Telegram εφαρμογή
Η απειλητική εκστρατεία StrongPity διέδωσε μια ύπουλη τροποποιημένη έκδοση του Telegram v7.5.0 (Φεβρουάριος 2022), κρύβοντάς την σε μια κακόβουλη εφαρμογή Android με τίτλο “video.apk”.
Όπως αναφέρει η ESET, οι χρήστες είναι πιο πιθανό να συναντήσουν τον ψεύτικο ιστότοπο Shagle μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου ηλεκτρονικού “ψαρέματος” και μηνυμάτων SMS. Ωστόσο, αντί να είναι προσβάσιμα στο Google Play όπως οι νόμιμες εφαρμογές, τα κακόβουλα APK μπορούν να κατεβούν απευθείας από τον παραποιημένο ιστότοπο.
Σύμφωνα με τους ερευνητές της ESET, το APK κυκλοφορούσε πιθανότατα από τον Νοέμβριο του 2021, όταν ο κλωνοποιημένος ιστότοπος εμφανίστηκε για πρώτη φορά στο διαδίκτυο. Παρ’ όλα αυτά, μόλις τον Ιούλιο του 2022 εντοπίστηκε η παρουσία του.
Δείτε επίσης: Ακόμη και η κυβέρνηση των ΗΠΑ χρησιμοποιεί αδύναμα password
Αν και η χρήση του Telegram για την ψεύτικη εφαρμογή της ομάδας χάκερ έχει τα μειονεκτήματά της, είναι ιδιαίτερα επιζήμια αν το θύμα διαθέτει ήδη μια έγκυρη έκδοση της εφαρμογής στη συσκευή του. Αυτό σημαίνει ότι, δυστυχώς, η εναλλακτική λύση backdoored δεν μπορεί να εγκατασταθεί σε αυτή την περίπτωση.
Η αναφορά αναφέρει ότι, λόγω υπερβολικής χρήσης, το αναγνωριστικό API που χρησιμοποιήθηκε στα δείγματα που καταγράφηκαν έχει περιοριστεί, επομένως η trojanized εφαρμογή δεν θα δέχεται πλέον εγγραφές νέων χρηστών, επομένως το backdoor δεν θα λειτουργεί.
Σύμφωνα με την έκθεση της ESET, η ομάδα StrongPity, η οποία δραστηριοποιείται από το 2012, συνεχίζει να επιδεικνύει την αγαπημένη της τακτική της μεταμφίεσης backdoor σε νόμιμους εγκαταστάτες λογισμικού για μια ολόκληρη δεκαετία.
Για να αποφύγετε αυτές τις κακόβουλες επιθέσεις, να είστε προσεκτικοί όταν εγκαθιστάτε νέες εφαρμογές σε συσκευές Android από πηγές εκτός του Google Play.
Πηγή πληροφοριών: heimdalsecurity.com
